Nella mattinata di venerdì 21 ottobre le piattaforme internet che gestiscono sulla costa orientale degli Stati Uniti anche siti popolari come Twitter, Spotify, Reddit, PayPal, eBay, Amazon, SoundHound, Netflix e Yelp (e la Cnn e il Financial Times) sono state attaccate da hacker e messe fuori servizio. L’azione ha colpito Dyn, il provider di servizi DNS, acronimo di Domain Name System, componente essenziale per la funzionalità di internet che permette di trasformare le stringhe numeriche degli indirizzi univoci a cui nelle reti internet sono associati i siti (IP) nel linguaggio comune.
IL TIPO DI ATTACCO
L’azione è stata di tipo DoS, Denial of Service, mirata a mettere fuori uso i siti colpiti: l’obiettivo è marcatamente criminale, saturare le risorse di un sito per renderlo inaccessibile o inutilizzabile. Nel caso specifico si è trattato di un Distribuited Denial of Service, DDoS, dove il funzionamento è analogo, ma portato a termine da una serie di computer collegati (una rete detta botnet). Secondo il New York Times, venerdì “l’attacco sembra aver fatto affidamento su centinaia di migliaia di dispositivi connessi a Internet come fotocamere, baby monitor e router di casa che sono stati infettati all’insaputa dei loro proprietari con un software che consente agli hacker, comandandoli, di inondare un obiettivo con il traffico opprimente”. Il Chief Strategy Officer di Dyn, Kyle York, ha detto al Wall Street Journal che l’azione è stata portata a termine utilizzando “decine di milioni di indirizzi IP”.
CHI SONO I RESPONSABILI?
Si è tratta di un attacco dalle dimensioni massicce, per cui al momento non sono stati individuati i colpevoli. Molti i dubbi su cui l’indagine aperta dalla autorità americane dovrà far luce. Ci sono collegamenti con le varie azioni che hanno colpito personaggi in vista e organizzazioni statunitensi per cui Washington ha ufficialmente accusato la Russia? Dai primi dati sembra di no, non sarebbe opera delle strutture governative clandestine con cui Mosca dirige le proprie azioni cibernetiche, operate da gruppi hacker sofisticati probabilmente al soldo dei servizi segreti russi: ma il condizionale è d’obbligo visto il momento delicato. Oppure, c’entra la storia di Harold Martin, dipendente a contratto della Nsa come lo fu Edward Snowden, che ha sottratto giga di dati riservati all’agenzia, anche riguardanti informazioni su come compiere attacchi hacker? Ancora, ci sono link tracciabili con quello che è successo agli uomini a bordo della “USS Ronald Reagan”?
IL CASO DELLA PORTAEREI
Nello stesso giorno in cui venivano diffuse le informazione sull’azione hacker nella East Coast americana, il Financial Times ha pubblicato un’esclusiva: hacker cinesi (indipendenti o legati al governo di Pechino? Non è definibile) hanno colpito con malware – di tipo Enfal – personale governativo salito a bordo della portaerei americana Reagan. Mail contenenti un sistema di phishing sono state inviate per permettere ai pirati di intrufolarsi nei sistemi informatici e sottrarre informazioni: dati sensibili come i piani di missione, o il funzionamento delle strumentazioni e della catena di comando. L’attacco risalirebbe all’11 luglio, secondo le ricostruzioni di FireEye, azienda specializzata in cyber-security. La data è significativa: in quei giorni le 104mila tonnellate della portaerei nucleare erano col suo gruppo da battaglia in pattugliamento tra le acque contese del Mar Cinese Meridionale, e sempre in quei giorni (il 12 luglio per l’esattezza) il tribunale dell’Aja condannava la militarizzazione espansionistica cinese tra gli isolotti di quelle stesse acque.
UN LINK PARTICOLARE
Dietro a quello successo venerdì, c’è anche una storia interessante e meno geopolitica. Sospetti ricado anche su possibili collegamenti ad azioni compiute il mese scorso, quando sotto un attacco analogo è finito il sito di Brian Krebs, un noto giornalista investigativo che si occupa di cyber-crimini. La correlazione sta nel fatto che Krebs è stato aiutato dal direttore del reparto analitico di Dyn per scrivere un articolo in cui erano stati tracciati i collegamenti tra alcune società che creano gli strumenti di difesa e alcuni hacker (una relazione torbida che mette i controllori nelle stesse stanze dei controllati). Il collegamento si fa più concreto secondo le analisi della società di sicurezza Flahspoint, che ha rintracciato dietro all’azione la presenza di un botnet di nome Mirai, lo stesso che aveva colpito Krebs.
LE PRESIDENZIALI AMERICANE
Tornando all’intrigo internazionale, invece. Trentuno stati americani permettono il voto presidenziale via internet per militari e civili all’estero; l’Alaska addirittura permette a qualsiasi cittadino di farlo. Barbara Simons, co-autrice del libro “Broken Ballots: Will Your Vote Count?” e membro del consiglio dei consulenti della Commissione elettorale, l’organo federale che sovrintende gli standard tecnologici di voto, ha detto al Nyt di “aver perso il sonno proprio pensando a questa prospettiva”. “Un attacco DDoS potrebbe certamente avere un impatto su questi voti e fare una grande differenza tra gli stati in bilico”, ha detto, al punto che negli Stati Uniti si sta sollevando una discussione su quanto sia giusto concedere ancora questa possibilità. Questo mese il direttore della National Intelligence, James Clapper, insieme al Department of Homeland Security ha accusato formalmente la Russia per il “profondo” hacking al Democratic National Committee e a un paio dei sistemi elettorali in due stati (Arizona e Illinois). Si pensa da tempo che Mosca voglia interferire con le elezioni americane; la situazione ha avuto un’escalation negli ultimi giorni, quando sono state diffuse indiscrezioni a proposito di possibili operazioni di rappresaglia americane, sempre sul piano del cyberwarfare, contro la Russia.
(Foto: Wikipedia, la Ronald Reagan col suo gruppo da battaglia)
